Wie wij zijn
BookLink is een dienst van DiBiSo, een eenmanszaak gevestigd in Rotterdam en ingeschreven bij de Kamer van Koophandel onder nummer 42056516. BTW-nummer: NL005461250B81.
In deze verklaring leggen wij uit hoe wij omgaan met persoonsgegevens van twee groepen: enerzijds onze zakelijke klanten en websitebezoekers, anderzijds eindklanten die een afspraak maken bij een bedrijf dat BookLink gebruikt. Voor die twee groepen gelden andere regels en een andere verantwoordelijkheid, daarom hebben wij ze opgesplitst hieronder.
Voor vragen over deze privacyverklaring of over jouw persoonsgegevens kun je ons bereiken via info@book-link.nl.
Onze twee rollen
Onder de Algemene Verordening Gegevensbescherming (AVG) zijn wij in twee verschillende rollen actief:
- Verwerkingsverantwoordelijke voor de gegevens van onze zakelijke klanten (ondernemers met een BookLink-account) en voor de gegevens van bezoekers van book-link.nl. Wij bepalen hier zelf het doel en de middelen van de verwerking.
- Verwerker voor de gegevens van eindklanten die een afspraak maken bij een bedrijf dat BookLink gebruikt. Het bedrijf bepaalt het doel van die verwerking, wij voeren namens dat bedrijf de technische verwerking uit. De verantwoordelijkheid voor die gegevens ligt bij het bedrijf zelf.
Boek je via een BookLink-boekingspagina bij een specifiek bedrijf, lees dan eerst de paragraaf "Boek je bij een bedrijf dat BookLink gebruikt?" hieronder.
Welke gegevens wij van ondernemers verwerken
Wij verwerken de volgende gegevens van ondernemers met een BookLink-account, en alleen voor zover je die zelf met ons deelt:
- Inlog- en accountgegevens: e-mailadres en een door jou gekozen wachtwoord (versleuteld opgeslagen).
- Bedrijfsgegevens: bedrijfsnaam, statutaire naam, voor- en achternaam van de eigenaar, KVK-nummer, BTW-nummer, bedrijfsadres (straat, postcode, plaats, land), het door jou gekozen webadres (slug) en eventueel een logo, banner, kleur, lettertype en omschrijvende teksten.
- Contactgegevens van het bedrijf zoals je die op je boekingspagina wilt tonen: telefoonnummer, e-mailadres, adres en links naar Instagram, TikTok of een Google- review-link.
- Abonnements- en facturatiegegevens: gekozen plan, looptijd, proefperiodes, abonnementsstatus en facturatiegegevens die wij nodig hebben om je een abonnementsfactuur te kunnen sturen.
- Mollie-koppeling: referentienummers (mollie_organization_id, mollie_customer_id), tokens om namens jou betalingen te kunnen verwerken, status van je Mollie-onboarding. Wij slaan geen kaartgegevens of bankgegevens van jouw klanten op, die liggen bij Mollie.
- Marketing-attributie: als je via een gemarkeerde link op book-link.nl bent gekomen, leggen wij vast welke campagneparameters (utm_*), welke landingspagina en welke verwijzende site dat waren. Zie ook onze paragraaf over cookies.
- Gebruikssignalen die je zelf in het dashboard genereert: instellingen, voorkeuren, e-mailsjabloon-aanpassingen, dashboard-onboarding-status.
Waarvoor wij die gegevens gebruiken
Wij verwerken jouw gegevens als ondernemer voor de volgende doelen, telkens op basis van een bijbehorende grondslag uit artikel 6 AVG:
- Het leveren van de BookLink-dienst waar je je voor hebt aangemeld (artikel 6 lid 1 sub b AVG, uitvoering van de overeenkomst). Hieronder valt account- beheer, het tonen van je boekingspagina, het verwerken van boekingen die via jouw pagina binnenkomen, en het faciliteren van online betalingen via je Mollie-koppeling.
- Het versturen van transactionele e-mails die direct met de dienst te maken hebben: bevestigings- mails, instellingsmeldingen, abonnementsmeldingen, herinneringen aan koppelacties zoals het koppelen van een Mollie-account, en service-updates (uitvoering van de overeenkomst).
- Het versturen van abonnementsfacturen en de bijbehorende administratie (artikel 6 lid 1 sub c AVG, wettelijke plicht uit de fiscale bewaarplicht).
- Beveiliging, fraudepreventie en misbruikdetectie van het platform, inclusief snelheidsbeperkingen via Upstash en logging van foutmeldingen (artikel 6 lid 1 sub f AVG, gerechtvaardigd belang).
- Verbetering van de dienst: wij gebruiken geanonimiseerde gebruikssignalen om de werking van het platform te verbeteren en bugs te traceren (gerechtvaardigd belang).
- Marketing-attributie: meten welke campagnes nieuwe klanten opleveren, beperkt tot first-party cookiedata zonder profilering of doorgifte aan derden (gerechtvaardigd belang).
Boek je bij een bedrijf dat BookLink gebruikt?
Als je een afspraak maakt op een boekingspagina die door BookLink wordt aangedreven, dan is het bedrijf waar je boekt de verwerkingsverantwoordelijke voor jouw gegevens. BookLink levert alleen de technische infrastructuur en treedt op als verwerker. Voor vragen over waarom dat bedrijf jouw gegevens vraagt, hoe lang het ze bewaart en welke marketingmails het verstuurt, neem je contact op met het bedrijf zelf.
De gegevens die wij in opdracht van dat bedrijf verwerken tijdens een boeking zijn:
- Jouw naam.
- Jouw e-mailadres en telefoonnummer (voor zover ingevuld).
- De gekozen dienst en het tijdstip.
- Eventuele vakspecifieke gegevens die het bedrijf vraagt op zijn boekingsformulier, bijvoorbeeld een kenteken bij een auto-detailer, de naam van een hond bij een hondentrimsalon, of een serviceadres bij mobiele dienstverlening.
- Bij online betaling: de gegevens die Mollie nodig heeft om de transactie uit te voeren. Die worden direct door Mollie verwerkt, niet door BookLink.
- Een per-boeking-token waarmee je via een unieke link de afspraak zelf kunt annuleren.
Wij sturen jou als eindklant alleen transactionele e-mails die rechtstreeks met je boeking samenhangen: bevestiging, herinnering, eventuele verzettings- of annuleringsbevestiging, en een terugbetalingsbevestiging bij refunds. Marketing- of terugboekmails verstuur je alleen als het bedrijf waar je boekt dat zelf heeft ingesteld; dat staat altijd onder de verantwoordelijkheid van dat bedrijf.
Met wie wij gegevens delen
Wij verkopen geen persoonsgegevens. Wij delen ze alleen met subverwerkers die nodig zijn om de dienst te kunnen leveren. Met al onze subverwerkers hebben wij een verwerkers- overeenkomst gesloten.
- Supabase Inc.(Verenigde Staten als entiteit) levert de databank, de authenticatie en de opslag voor afbeeldingen. Wij hebben dit project zo geconfigureerd dat de gegevens worden opgeslagen en verwerkt in de regio Frankfurt, Duitsland (EU). Eventuele incidentele toegang vanuit de Verenigde Staten door Supabase voor support of beveiliging valt onder de standaardcontractbepalingen (SCC's) van de Europese Commissie en, waar van toepassing, het adequaatheids- besluit EU-VS Data Privacy Framework (DPF).
- Vercel Inc.(Verenigde Staten als entiteit) host onze applicatie en draait geplande achtergrondtaken (cron jobs). Verzoeken worden in de regel afgehandeld in een EU-edge-regio. Eventuele doorgifte aan de Verenigde Staten voor specifieke platformfuncties valt onder de standaardcontract- bepalingen (SCC's) en, waar van toepassing, het EU-VS Data Privacy Framework (DPF).
- Mollie B.V. uit Amsterdam, Nederland verwerkt alle online betalingen, zowel de betalingen die jouw eindklanten aan jou doen (via Mollie Connect for Platforms), als jouw eigen BookLink-abonnements- betalingen. Mollie is een in Nederland gevestigde betaaldienstverlener en houdt de betaalgegevens zelf binnen de EER.
- Resend Inc.(Verenigde Staten als entiteit) verzorgt het versturen van onze transactionele e-mails. Wij hebben Resend zo geconfigureerd dat verzending plaatsvindt vanuit de regio Ierland (EU). Eventuele incidentele toegang vanuit de Verenigde Staten door Resend voor support of beveiliging valt onder de standaardcontractbepalingen (SCC's) en, waar van toepassing, het EU-VS Data Privacy Framework (DPF).
- Upstash Inc.(Verenigde Staten) levert de Redis-databank waarin wij snelheidsbeperkingen (rate limits) bijhouden. De verwerking vindt plaats op servers in de Verenigde Staten en valt onder de standaard- contractbepalingen (SCC's) en, waar van toepassing, het EU-VS Data Privacy Framework (DPF).
Hoe lang wij gegevens bewaren
Wij bewaren persoonsgegevens niet langer dan nodig voor de doelen waarvoor wij ze verwerken:
- Account- en bedrijfsgegevens: zolang je account actief is. Op dit moment bestaat er nog geen geautomatiseerd verwijderingsproces in onze applicatie. Verzoeken tot verwijdering verwerken wij handmatig na een e-mail aan info@book-link.nl, binnen vier weken na ontvangst van het verzoek.
- Facturatie- en boekhoudgegevens (waaronder abonnementsfacturen en de facturen die jij via BookLink aan jouw eindklanten uitreikt): zeven jaar, op grond van de fiscale bewaarplicht (artikel 52 lid 4 Algemene wet inzake rijksbelastingen).
- Betalingsgegevens die wij voor onze eigen administratie bewaren (mollie_payments, mollie_subscriptions, application_fee_cents): zeven jaar, in lijn met de fiscale bewaarplicht.
- Marketing-attributie cookiedata: de cookie zelf heeft een geldigheidsduur van 30 dagen in je browser. De daaruit afgeleide attributie op je account (utm_* + landing_path) bewaren wij zolang het account bestaat.
- E-maillogs en notificatielogs (om dubbele verzendingen te voorkomen): vooralsnog zonder geautomatiseerde wisser. Verzoeken om verwijdering verwerken wij handmatig.
Jouw rechten onder de AVG
Onder de AVG heb je een aantal rechten ten aanzien van jouw persoonsgegevens. Je kunt ze allemaal uitoefenen door ons een e-mail te sturen naar info@book-link.nl. Wij reageren binnen vier weken.
- Recht op inzage in de gegevens die wij van jou hebben.
- Recht op rectificatie als gegevens onjuist of onvolledig zijn.
- Recht op verwijdering ("recht om vergeten te worden").
- Recht op beperking van de verwerking.
- Recht op overdraagbaarheid van gegevens.
- Recht van bezwaar tegen verwerkingen die gebaseerd zijn op een gerechtvaardigd belang.
- Recht om een eventueel gegeven toestemming weer in te trekken voor verwerkingen die op toestemming berusten.
Ben je het niet eens met de manier waarop wij je gegevens verwerken, dan heb je het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.
Boek je via een BookLink-pagina bij een specifiek bedrijf en gaat het verzoek over die boeking? Stuur je verzoek dan rechtstreeks naar dat bedrijf. Wij ondersteunen het bedrijf waar nodig om aan jouw verzoek te voldoen.
Beveiliging
Wij beveiligen onze dienst met onder andere de volgende maatregelen:
- Versleuteling van gegevens tijdens het transport (TLS) en voor data-at-rest op het platform van onze infrastructuurleveranciers.
- Row Level Security in de databank: standaard kan een ondernemer alleen de eigen rijen lezen of bewerken, ook als een fout in de applicatie zou ontstaan.
- Toegang tot productiedata is beperkt tot de eigenaar van DiBiSo. Beheeracties op individuele bedrijven worden vastgelegd in een audit log.
- Snelheidsbeperking (rate limiting) op gevoelige routes, zoals het aanmaken van een boeking, het annuleren via een token-link en het starten van een betaling.
- Periodieke back-ups via de databankleverancier (Supabase).
Een datalek melden wij waar wettelijk vereist binnen 72 uur aan de Autoriteit Persoonsgegevens. Bij een datalek dat gegevens van eindklanten van een specifiek bedrijf raakt, informeren wij dat bedrijf zonder onredelijke vertraging zodat het bedrijf zelf binnen 72 uur kan melden.
Wijzigingen in deze verklaring
Wij kunnen deze privacyverklaring aanpassen, bijvoorbeeld als wij een nieuwe functie introduceren of een verwerker toevoegen of vervangen. Bij wezenlijke wijzigingen brengen wij je via e-mail of via een melding in het dashboard op de hoogte. De versiedatum onderaan deze verklaring geeft aan wanneer wij voor het laatst een wijziging hebben aangebracht.